いくらフレキシブルで可用性の高いネットワーク環境を構築しても、セキュリティホールが存在しては悪意をもった第三者からの侵入を許してしまうことになり、企業活動に支障をきたすことになりかねません。ネットワークセキュリティは定期的に脆弱性をチェックすることが大切。ではネットワークセキュリティの脆弱性はどのように発見するのでしょうか。今回は具体的なチェック方法についてまとめています。

セキュリティ診断は専門業者に依頼するのが吉?

ネットワークセキュリティの脆弱性を発見するためのチェック方法として、専門業者への依頼があげられます。セキュリティ診断を行う専門業者は、独自のチェックツールを動作させ、ネットワーク上で動いている各種サービスやOSの動作に問題がないかチェックし、レポートをまとめてくれるでしょう。

専門業者が行うチェック方法としては、通称「ホワイトボックステスト」と呼ばれる設計書やネットワーク図、各種仕様書を中心に机上で行う診断と、実際に疑似攻撃をしかけてチェックする「ブラックボックステスト」があります。多くの専門業者ではこの2つの方法と診断ツールを組み合わせながらネットワークセキュリティの脆弱性をチェックするため、企業の担当者が独自にチェックするよりも効率的かもしれません。

しかし、これら専門業者に調査を依頼する場合は、それなりの診断費用が必要です。より簡易的なチェックであれば、フリーツールなどを活用して独自のチェックを行うことができるため、そのポイントを紹介しておきましょう。

ポートスキャンでサービスの出入り口をチェック

ネットワークセキュリティの脆弱性を診断するチェック方法として、代表的なものが「ポートスキャンチェック」です。ポートとは、アプリケーションやサービスがデータをやり取りするための出入り口で、本来は「港」を意味しています。外部からの攻撃を企てる者は、このポートが開いているかどうかをスキャンし、開いているポートに対して攻撃や侵入を試みるのです。開いているポートをスキャンする手法として代表的なのが、特定のデータを持つパケットを送信してその返信状況から空き具合を知る「スリーウェイハンドシェイク」です。

このポートスキャンチェックは、フリーツールでも簡単に行うことができます。「nmap」や、そのGUI版である「Zenmap」を利用します。Zenmapは、画面上から任意のIPアドレス(チェックしたいIPアドレス)を指定すると、nmapコマンドが発行され、開いているポートを一覧で表示します。たとえば、Webサーバーの通信に使われる「80番ポート」が開いている場合は「80/tcp open」と記載されるのです。このツールを使えば、意図していないポートが不用意に開いていないかをチェックすることができます。

稼働しているOSやサービスをチェック

ポートスキャンのほかにも独自に脆弱性をチェックする方法があります。それは、OSや稼働サービスのセキュリティパッチが最新であるかをチェックすることです。ネットワーク内で稼働するOSやサービスには、それぞれが定期的に脆弱性に対するパッチがリリースされているため、常にそれらを最新に保つことを心掛けましょう。

たとえば、Windows OSのアップデートが最新か、Webサーバーとして使用しているApacheのバージョンが適正かなど、有償・無償を問わず全ての項目を網羅することが大切です。バージョンが古く脆弱性を抱えたままのサービスを使用していたり、OSの脆弱性を放置していたりすると、外部からの攻撃・侵入を許してしまうことになりかねません。ネットワーク内で稼働しているOSやサービスを一覧にまとめ、定期的にバージョンやパッチの適用状況をチェックしていきましょう。

より高度なチェックは専門業者に依頼を!

ネットワークセキュリティの脆弱性診断は、フリーツールや各種情報のチェックによってある程度は可能です。しかし、より高度な堅牢性を確保したい場合は、専門業者への依頼が必須となるでしょう。年に1度や半期に1度といったスパンで専門業者へ依頼をしつつ、独自のチェックも組み合わせていくことをおすすめします。

[PR]提供:マイナビニュース TECH+